MỤC LỤC
URL với loại nhiễm phần mềm độc hại “Cấu hình máy chủ” trong Webmaster Tools có nghĩa là gì?
Điều này có nghĩa là hacker đã xâm nhập vào trang web của bạn và đang chuyển hướng khách truy cập từ trang web của bạn sang trang chứa các phần mềm độc hại, chúng có thể thực hiện bằng cách sửa đổi các file cấu hình của máy chủ vì các file này thường cho phép quản trị viên trang web chỉ định chuyển hướng URL cho các trang hoặc thư mục cụ thể trên trang web. Ví dụ: trên các máy chủ Apache, đây là file .htaccess và httpd.conf.
Làm cách nào để xác định hành vi chuyển hướng của loại phần mềm độc hại “Cấu hình máy chủ”
Đầu tiên, bạn cần tránh sử dụng trình duyệt để xem các trang bị nhiễm virus trên trang web của bạn vì các phần mềm độc hại thường lây lan bằng cách khai thác các lỗ hổng trên trình duyệt. Nên việc mở một trang chứa phần mềm độc hại trong trình duyệt có thể làm hỏng máy tính của bạn.
Hãy xác nhận các hành vi bằng cách sử dụng cURL hoặc Wget để thực hiện yêu cầu HTTP (ví dụ như để tìm nạp 1 trang). Các công cụ có sẵn miễn phí này rất hữu ích cho việc xác định chuyển hướng của trang web bao gồm liên kết giới thiệu hoặc thông tin tác nhân người dùng. Bằng cách phân tán nội dung độc hại tới người dùng và tác nhân người dùng, hacker có thể nhắm nhiều mục tiêu cụ thể hơn và tránh được việc bị phát hiện bởi chủ trang web và các máy quét virus khác. Ví dụ:
$curl -v --referer <referer-field> --user-agent "Mozilla/5.0
(Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko)
Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
hoặc
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0
(Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko)
Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
nên việc tìm nạp một trang bị nhiễm loại phần mềm độc hại “cấu hình máy chủ” sẽ trả lại tiêu đề sau:
... < HTTP/1.1 301 Moved Permanently < Date: Sun, 24 Feb 2013 21:06:45 GMT < Server: Apache < Location: http://<malware-attack-site>/index.html < Content-Length: 253 ...
Làm thế nào để loại bỏ phần mềm độc hại “cấu hình máy chủ” này?
Đăng nhập vào máy chủ của bạn thông qua việc truy cập shell / terminal (trang web có thể để ở chế độ offline nếu bạn muốn) và xem lại các file cấu hình máy chủ có liên quan. Có thể tồn tại nhiều hơn một file cấu hình máy chủ trên trang web của bạn do hacker sửa đổi. Kiểm tra các file này để tìm ra các lệnh mà hacker thêm vào, chẳng hạn như chuyển hướng, nơi mà hacker có thể cấu hình trang web của bạn để chuyển hướng đến các trang chứa phần mềm độc hại. Ví dụ, trong .htaccess:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
Ngoài ra:
+ Đảm bảo rằng đã kiểm tra toàn bộ file tránh trường hợp hacker thêm các đoạn mã vào cuối file, nơi mà bạn có thể bỏ qua việc kiểm tra.
+ Điều tra các cron job (một công việc được thực hiện theo theo một chu kỳ xác định) được hacker thiết kế để liên tục cập nhật file .htaccess. Cron job có thể được liệt kê ở một số vị trí như / etc / crontab và / var / spool / cron.
Làm sạch loại phần mềm độc hại “cấu hình máy chủ” rất hữu ích trong việc khôi phục trang web bị tấn công, nhưng nó không giải quyết các lỗ hổng tiềm ẩn là nguồn gốc để hacker xâm hại trang web của bạn.